Connettore GreyNoise Threat Intelligence (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Questo connettore dati installa un'app per le funzioni di Azure per scaricare gli indicatori GreyNoise una volta al giorno e li inserisce nella tabella ThreatIntelligenceIndicator in Microsoft Sentinel.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

Attributi del connettore

Attributo connettore Descrizione
Tabelle di Log Analytics ThreatIntelligenceIndicator
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: GreyNoise

Esempi di query

Tutti gli indicatori delle API di Intelligence per le minacce

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con GreyNoise Threat Intelligence (usando Funzioni di Azure) assicurarsi di avere:

Istruzioni di installazione fornitore

È possibile connettere GreyNoise Threat Intelligence a Microsoft Sentinel seguendo questa procedura:

I passaggi seguenti creano un'applicazione Microsoft Entra ID, recuperano una chiave API GreyNoise e salvano i valori in una funzione di Azure Configurazione app.

  1. Recuperare la chiave API dal visualizzatore GreyNoise.

Generare una chiave API dal visualizzatore GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api

  1. Nel tenant microsoft Entra ID creare un'applicazione Microsoft Entra ID e acquisire l'ID tenant e l'ID client. Ottenere anche l'ID dell'area di lavoro Log Analytics associato all'istanza di Microsoft Sentinel (dovrebbe essere visualizzato di seguito).

Seguire le istruzioni riportate qui per creare l'app Microsoft Entra ID e salvare l'ID client e l'ID tenant: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOTA: Attendere il passaggio 5 per generare il segreto client.

  1. Assegnare l'applicazione Microsoft Entra ID al ruolo collaboratore di Microsoft Sentinel.

Seguire le istruzioni riportate qui per aggiungere il ruolo collaboratore di Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Specificare le autorizzazioni microsoft Entra ID per abilitare l'accesso dell'API MS Graph all'API upload-indicators.

Seguire questa sezione qui per aggiungere l'autorizzazione 'ThreatIndicators.ReadWrite.OwnedBy' all'app Microsoft Entra ID: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Tornare all'app Microsoft Entra ID, assicurarsi di concedere il consenso amministratore per le autorizzazioni appena aggiunte. Infine, nella sezione "Token e API" generare un segreto client e salvarlo. Sarà necessario nel passaggio 6.

  1. Distribuire la soluzione Intelligence per le minacce (anteprima), che include l'API Degli indicatori di caricamento di Intelligence per le minacce (anteprima)

Vedere Hub del contenuto di Microsoft Sentinel per questa soluzione e installarlo nell'istanza di Microsoft Sentinel.

  1. Distribuire la funzione di Azure

Fare clic sul pulsante Distribuisci in Azure.

Distribuzione in Azure

Immettere i valori appropriati per ogni parametro. Tenere presente che gli unici valori validi per il parametro GREYNOISE_CLASSIFICATIONS sono dannosi, dannosi e/o sconosciuti, che devono essere separati da virgole.

  1. Inviare indicatori a Sentinel

L'app per le funzioni installata nel passaggio 6 esegue una query sull'API GreyNoise GNQL una volta al giorno e invia ogni indicatore trovato nel formato STIX 2.1 all'API Microsoft Upload Threat Intelligence Indicators. Ogni indicatore scade tra circa 24 ore dalla creazione, a meno che non venga trovato nella query del giorno successivo. In questo caso l'indicatore TI è valido fino a quando il tempo viene esteso per altre 24 ore, che lo mantiene attivo in Microsoft Sentinel.

Per altre informazioni sull'API GreyNoise e sul linguaggio di query GreyNoise (GNQL), fare clic qui.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.